Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Administrator hat kein Zugriff auf lokale Sicherheitsrichtlinie

Frage Microsoft

Mitglied: Alkolis

Alkolis (Level 1) - Jetzt verbinden

19.10.2010, aktualisiert 14:08 Uhr, 12812 Aufrufe, 4 Kommentare

Wenn ich mich unter Windows XP als lokalen Administrator einlogge, hat dieser nach dem Login keinen Zugriff mehr, auf eine selbst erstellte MMC zur Verwaltung der lokalen Sicherheitsrichtlinien. Vor dem Login des Administrators konnten andere Benutzer über "Ausführen als..." die MMC als Administrator ausführen, nach einmaligem Login nicht mehr.

Hallo Zusammen,

ich habe ein Problem mit dem Zugriff auf eine MMC, die auf 90% der Workstations in der Firma eingerichtet ist.
Durch relativ kuriose Umstände und eines Todesfalls, wurde bei der Umstellung auf Server 2003 in der Firma keine Active Directory eingerichtet. Dadurch konnten unsere Workstations (Windows XP SP2) nicht durch Policies beschnitten werden, sondern wurden lokal abgeriegelt.

Dafür hat mein Kollege, zusammen mit meinem Vorgänger, eine MMC auf jedem PC eingerichtet und alle relevanten Funktionen gesperrt. Die besagte MMC ist nur mit Administrator Rechten ausführbar.
Der Zugriff auf die MMC funktioniert tadellos von jedem Benutzerkonto aus, aber sobald sich der lokale Administrator einmal einloggt kann die MMC nicht mehr geöffnet werden.

Man erhält ständig nur die drei alt bekannten Meldungen:
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Ordner."
"Das unten aufgeführte, in diesem Dokument verwiesene Snap-In wurde durch Richtlinien eingeschränkt. Weitere Informationen erhalten Sie von Ihrem Administrator. Gruppenrichtlinie."
"Die aktuellen Richtlinien verhindern, dass Microsoft Management Console im Autorenmodus geöffnet wird. Weitere Informationen erhalten Sie von Ihrem Administrator."


Auch wenn ich mir über Umwege Zugang zur CMD verschaffe oder direkt ins System32 Verzeichnis gehe, kann ich mir keinen Zugriff auf eine MMC verschaffen - egal von welchem Account (auch andere Administratoren erhalten keinen Zugriff). An sich wäre das nicht so schlimm, da der Rechner ja noch läuft und meistens nur Administrative Funktionen gesperrt sind. Falls diese benötigt werden, muss zwangsweise das Windows neu gemacht werden, aber wir haben hier ~300 Workstations zu betreuen, davon sind mind. 250 von diesem Problem betroffen und die IT besteht nur aus 2 Personen.


Das einzige was mir noch einfällt ist die entsprechende Funktion per, mittlerweile vorhandener, Active Directory frei zu geben.


Hat jemand noch eine Idee oder einen Konstruktiven Vorschlag zur Lösung des Problems?


Schon mal Danke für eure Hilfe.

Gruß
Mitglied: Pago159
19.10.2010 um 19:56 Uhr
Naja, die Frage ist macht es nicht mehr sinn,
bei einer solchen Problematik direkt komplett auf AD um zu steigen?
Klar, es ist erst einmal ein Heiden aufwand,
aber wenn alles mal so weit geschaffen ist,
dann macht es dir die ganze Verwaltung wesentlich einfacher....
Leg dir eine Ordnerstrucktur an, mit entsprechenden Berechtigungen,
dann alles auf dem Server Speichern lassen und alle Rechner in die Domäne
rein Holen, mit entsprechenden Berechtigungen und einschränkungen.
Dann wäre deine IT auch vernünftig aufgebaut.
Bitte warten ..
Mitglied: Alkolis
20.10.2010 um 07:58 Uhr
Hallo Grapper,

das ist bereits geschehen. Zur Zeit existiert eine AD auf einem Windows Server 2003, demnächst kommt der Umstieg auf Server 2008 R2 und ab März auch neue Clients. Alle Clients sind Mitglied dieser Domäne.
Dennoch sind die lokal definierten Richtlinien da und stören von Zeit zur Zeit - und in letzter Zeit immer häufiger - den Betrieb. Alle Workstations, die wir durch Mitarbeiterwechsel, Entlassungen/Kündigungen etc. in unsere Hände bekommen, kriegen ein sauberes Image per Acronis, aber alle älteren Maschinen haben halt zusätzlich zu der AD noch die lokalen Richtlinien, die sich partout nicht ändern lassen wollen sobald sich der lokale Administrator einmal eingeloggt hat.
Bitte warten ..
Mitglied: Logan000
20.10.2010 um 10:11 Uhr
Moin Moin

Vergesst die Lokalen Richtlinien. Wenn Ihr Einstellungen vornehmen wollt macht das mit GPOs über das AD. Diese haben immer Vorrang vor den lokalen Richtlinien.

Es klingt fast so als hättet Ihr die MMC bzw deren Autoren Modus in der Lokalen Richtlinie für alle Benutzer der jeweiligen Maschine gesperrt.

Schon mal versucht die MMC als DomAdmin zu starten.
Falls das auch nicht klappt (was ich vermute) könnt ihr für die DomAdmins eine GPO erstellen in der die Einstellungen
"Autorenmodus für Benutzer nicht zulassen" und "Benutzer auf die Verwendung von zugelassenen Snap-Ins beschränken" auf deaktiviert gesetzt werden.
Die Einstellungen sind zu finden unter: Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Microsoft Management Console /

Plan B (hab ich nicht ausprobiert) ist für den lokalen Admin diesen Regschlüssel HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC zu löschen.

Gruß L.
Bitte warten ..
Mitglied: Alkolis
20.10.2010 um 10:39 Uhr
Hallo Logan,

die lokalen Richtlinien werden mittlerweile nicht mehr verwendet, alle neuen Einstellungen kriegen die Workstations über die AD.
Das sind nur die historischen Reste von der Vor-AD-Zeit. Wenn wir dort den Zugriff auf alle Funktionen, die mit der lokalen Richtlinie verboten wurden, erlauben würden, würden wir unseren Usern Tür und Tor für Unsinn aller Art öffnen. Deshalb haben wir diesen Weg bisher vermieden.

Das mit den DomAdmin haben wir versucht, leider erfolglos.


Aber dein Plan B hat bestens funktioniert! Nach Löschung des Schlüssel "HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC" beim lokalen Administrator, ist der Zugriff auf die MMC wieder möglich.

Deine Vermutung war richtig, mein Kollege und mein Vorgänger haben die Einstellung "Autorenmodus für Benutzer nicht zulassen" aktiviert. Den Vorschlag mit der GPO werde ich direkt Umsetzen, das erspart uns viel Ärger.

Besten Dank!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Domain - Zugriff auf Rechner in Netzwerk ohne Administrator Passwort (14)

Frage von Aviator zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
VPN: Client - Draytek und kein Zugriff auf lokale Ressourcen

Frage von MichaelOr zum Thema LAN, WAN, Wireless ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...